Log Analytics エージェントから Azure Monitor エージェントへの移行

Azure Monitor エージェント (AMA) は、Azure および Azure 以外の環境 (オンプレミスとサードパーティのクラウドを含む) において、Windows と Linux のマシンで、Log Analytics エージェント (MMA や OMS とも呼ばれます) の後継となります。 このエージェントでは、データ収集ルール (DCR) を使用してデータ収集の構成を簡単かつ柔軟に構成する方法を導入しています。 この記事では、Log Analytics エージェントから Azure Monitor エージェントへの移行を成功させる方法に関するガイダンスを提供します。

現在、Azure Monitor またはその他のサポートされている機能やサービスで Log Analytics エージェントを使用している場合は、この記事の情報を使用して、Azure Monitor エージェントへの移行の計画を開始してください。 SCOM 用 Log Analytics エージェントを使っている場合は、SCOM エージェントに移行する必要があります

Log Analytics エージェントは、2024 年 8 月 31 日に廃止される予定です。 この日以降に MMA または OMS エージェントを使うと、次のことが予想されます。

  • データのアップロード: データは引き続きアップロードできます。 主要な顧客の移行が完了し、データ量が大幅に減少した時点でアップロードが停止されます。 これには少なくとも 6 から 9 か月かかることが予想されます。 停止に関する破壊的変更の通知は行われません。
  • インストールまたは再インストール: レガシ エージェントのインストールと再インストールは引き続き可能です。 インストールまたは再インストールの問題についてはサポートを受けることができません。
  • カスタマー サポート: セキュリティ問題に対する MMA/OMS のサポートが期待できます。

メリット

Azure Monitor エージェントは、レガシ Log Analytics エージェントの統合と改善に加えて、コスト削減、管理エクスペリエンスの簡略化、セキュリティとパフォーマンスの強化など、即効性のあるさまざまな利点を備えています。

移行ガイダンス

Log Analytics エージェントから Azure Monitor エージェントへの移行を開始する前に、以下のチェックリストを確認してください。

開始する前に

  • Azure Monitor エージェントをインストールするための前提条件を確認します。
    Azure 以外のオンプレミス サーバーを監視するには、Azure Arc エージェントをインストールする必要があります。 Arc エージェントを使用すると、オンプレミスのサーバを Azure がターゲットにできるリソースとして可視化します。 Azure Arc エージェントのインストールに追加費用は発生しません。
  • 現在のニーズを把握します。
    AMA 移行ヘルパー[ワークスペースの概要] タブを使用して、接続されたエージェントを表示し、ソリューションごとの移行に関する推奨事項など、Log Analytics ワークスペースで有効になっている、レガシ エージェントを使用するソリューションを検出します。
  • Azure Monitor エージェントがすべてのニーズに対応できることを確認します。
    Azure Monitor エージェントは、データ収集用に一般提供となっており、さまざまな Azure Monitor 機能やその他の Azure サービスによるデータ収集に使用されます。 詳細については、サポートされているサービスと機能に関するセクションを参照してください。
  • 移行期間中は、Azure Monitor エージェントをレガシ エージェントと一緒にインストールすることを検討してください。
    評価または移行中に既存の機能を使用し続けるために、同じマシン上で Azure Monitor エージェントをレガシ Log Analytics エージェントと一緒に実行します。 同じマシンで 2 つのエージェントを実行すると、CPU、メモリ、記憶域スペース、ネットワーク帯域幅など (これらに限定されません)、リソース消費量が 2 倍になるので注意してください。
    • デプロイ スクリプトやオンボード テンプレートなどのリソースを使用して新しい環境を設定する場合は、新しい環境にレガシ エージェントと共に Azure Monitor エージェントをインストールし、後で行う移行作業を減らします。
    • 同じマシンに 2 つのエージェントをインストールしている場合は、データを重複して収集しないようにしてください。
      同じマシンから重複データを収集すると、クエリ結果が偏ったり、アラート、ダッシュボード、ブックのようなダウンストリーム機能が影響を受けたり、データ インジェストと保持により多くの料金が発生したりするおそれがあります。
      データの重複を回避するには:
      • 異なるワークスペース、または同じワークスペース内の異なるテーブルにデータを送信するようにエージェントを構成します。
      • ワークスペースの構成を削除して、レガシ エージェントからの重複データの収集を無効にします。
      • Defender for Cloud を使用すると、両方のエージェントを使用した場合にデータがネイティブに重複除去され、エージェントを並列で実行すると、マシンごとに 1 回だけ課金されます。
      • Sentinel では、簡単にレガシ コネクタを無効にして、レガシ エージェントからのログのインジェストを停止できます。

移行の手順

Flow diagram that shows the steps involved in agent migration and how the migration tools help in generating DCRs and tracking the entire migration process.

  1. DCR ジェネレーターを使用して、レガシ エージェントの構成を自動的にデータ収集ルールに変換します。1

    ルールを作成する前に生成されたものを確認し、フィルター処理、詳細なターゲット設定 (マシンごと)、その他の最適化などの高度なオプションを活用します。 MMA カスタム ログを AMA カスタム ログに移行するには、特別な手順が必要です

  2. いくつかの非運用マシンで新しいエージェントとデータ収集ルールをテストします。

    1. DCR Config Generator のインストールと使用」の説明に従って、生成されたデータ収集ルールをデプロイし、いくつかのマシンに関連付けます。

      二重のインジェストを回避するために、レガシ エージェントのワークスペース構成を削除して、エージェントをアンインストールせずに、テスト フェーズ中にレガシ エージェントからのデータ収集を無効にすることができます。

    2. Azure Monitor エージェントによって取り込まれたデータとレガシ エージェントのデータを比較して、差異がないことを確認します。 この操作は、結合演算子を使用して Heartbeat テーブルから Category 列を追加して、任意のテーブルで行うことができます。この列には、Azure Monitor エージェントによって収集されたデータに対して Azure Monitor Agent が示されます。

      たとえば、このクエリでは、Heartbeat テーブルからの Category 列を Event テーブルから取得したデータに追加します。

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      
  3. 組み込みポリシーを使用して、拡張機能と DCR の関連付けを大規模にデプロイします。 また、ポリシーを使用すると、新しいマシンに拡張機能と DCR の関連付けを自動的にデプロイできます。3

    AMA 移行ヘルパーを使用して、マシン全体の大規模な移行を監視します。

  4. Azure Monitor エージェントが期待どおりにデータを収集しており、ダッシュボード、アラート、ブックなど、すべてのダウンストリーム依存関係が正常に機能していることを確認してください。

    1. Log Analytics ワークスペース分析情報[概要] タブと [使用状況] タブを参照して、移行後にインジェスト率が急増または低下しているか確認します。 ワークスペース全体のインジェストとテーブル レベルのインジェスト率の両方を確認します。
    2. 移行後に、通常の動作からの変化があるかについて、ブック、ダッシュボード、アラートを確認します。
  5. クリーンアップ: Azure Monitor エージェントがデータを適切に収集していることを確認したら、レガシ Log Analytics エージェントを無効にするかアンインストールします。

    • すべての要件について Azure Monitor エージェントに移行した場合は、監視対象リソースから Log Analytics エージェントをアンインストールします。 以前に Log Analytics エージェントによって使用されていた構成ファイル、ワークスペース キー、または証明書を消去します。 Azure Monitor エージェントでサポートされていない機能とソリューションについては、レガシ Log Analytics を引き続きご使用ください。

      MMA 削除ツールを使って、テナント内のすべてのマシンから Log Analytics エージェント拡張機能を検出して削除します。

    • System Center Operations Manager にデータをアップロードするためにレガシ エージェントを使用する必要がある場合は、これをアンインストールしないでください。

1 DCR ジェネレーターは、Windows イベント ログ、Linux syslog、パフォーマンス カウンターの構成のみを変換します。 その他の機能やソリューションのサポートは、近日中に提供される予定です。
2 Azure Monitor エージェント拡張機能に加えて、特定のソリューションに必要な追加の拡張機能のデプロイが必要になる場合があります。

追加のサービスと機能を移行する

Azure Monitor エージェントは、データ収集用に一般提供となっています。 データ収集に Log Analytics エージェントを使っていたほとんどのサービスは、Azure Monitor エージェントに移行しました。

次の機能とサービスに、Azure Monitor エージェント バージョンが追加されました (一部は引き続きパブリック プレビュー段階です)。 つまり、対象の機能またはサービスを有効にすると、データ収集に Azure Monitor エージェントを使う選択が既に可能になっています。

サービスまたは機能 移行の推奨事項 現在の状態 詳細情報
分析情報VM insights、Service Map、依存関係エージェント Azure Monitor エージェントに移行する 一般提供 VM Insights を有効にする
Microsoft Sentinel Azure Monitor エージェントに移行する パブリック プレビュー Microsoft Sentinel の AMA の移行
変更履歴とインベントリ Azure Monitor エージェントに移行する 一般提供 Change Tracking とインベントリの移行
Network Watcher Azure Monitor エージェントを使用して接続モニターと呼ばれる新しいサービスに移行する 一般提供 接続モニターを使用してネットワーク接続を監視する
Azure Stack HCI の分析情報 Azure Monitor エージェントに移行する 一般提供 Insights を使用して Azure Stack HCI を監視する
Azure Virtual Desktop (AVD) の分析情報 Azure Monitor エージェントに移行する 一般提供 Azure Virtual Desktop の分析情報
コンテナー監視ソリューション Azure Monitor エージェントを使用して Container Insights と呼ばれる新しいサービスに移行する 一般提供 コンテナー分析情報を有効にする
DNS コレクター 新しい Sentinel コネクタを使う 一般提供 DNS コネクタを有効にする

現在 Log Analytics エージェントを使用している次のサービスをそれぞれの後継 (v2) に移行する場合、どの監視エージェントも不要になります。

サービス 移行の推奨事項 現在の状態 詳細情報
Microsoft Defender for Cloud、Servers、SQL、Endpoint Microsoft Defender for Cloud に移行する (Log Analytics エージェントまたは Azure Monitor エージェントに依存しない) 一般に入手可能 Log Analytics エージェントの非推奨化に向けた Defender for Cloud の計画
更新管理 Azure Update Manager に移行する (Log Analytics エージェントまたは Azure Monitor エージェントに依存しない) 一般公開 Update Manager のドキュメント
Automation Hybrid Runbook Worker の概要 Automation Hybrid Worker 拡張機能 (Log Analytics エージェントまたは Azure Monitor エージェントに依存しない) 一般に入手可能 拡張機能ベースのハイブリッド worker に移行する

移行に影響する可能性があるソリューションの既知のパリティ ギャップ

  • Sentinel: CEF と Windows ファイアウォールのログはまだ一般提供されていません
  • SQL Assessment ソリューション: これは、SQL ベスト プラクティス アセスメントに含まれるようになりました。 デプロイ ポリシーには、サブスクリプションごとに 1 つの Log Analytics ワークスペースが必要です。これは、AMA チームによって推奨されているベスト プラクティスではありません。
  • Microsoft Defender for cloud: 新しいエージェントレス ソリューションの一部の機能は開発中です。 FIM、エンドポイント保護検出の推奨事項、OS の構成ミス (ASB の推奨事項)、適応型アプリケーション制御を使用している場合、移行に影響する場合があります。
  • Container Insights: Windows バージョンはパブリック プレビュー段階です。

よく寄せられる質問

このセクションでは、一般的な質問への回答を示します。

Azure Monitor エージェントと Log Analytics エージェントをサイド バイ サイドで共存させることはできますか?

はい。 Azure Monitor エージェントに移行する場合、移行期間中はレガシ エージェントと共に Azure Monitor エージェントをインストールすることを検討するかもしれませんが、特定の考慮事項について注意しなければいけません。 「Azure Monitor エージェントの移行ガイダンス」で、エージェントの共存に関する考慮事項について確認してください。

次のステップ

詳細については、次を参照してください。